DI: Nordnet har stängt sina tjänster – misstänkt säkerhetsproblem

Jag delar inte den negativa inställningen till Nordnet som några har här. Jag har varit kund sen 1998 och inte haft några större problem eller frustrationer, vilket jag inte kan säga om andra banker. De gånger som nåt har krånglat tycker jag att bemötandet har varit personligt och proffsigt. Men såklart är min upplevelse en väldigt liten del av verkligheten.

Det återstår att se hur allvarlig denna incident var. Men att stänga ner hela tjänsten skulle jag inte säga är en dålig rutin, jag hade varit mer orolig om de inte gjorde det.

Fy vad dåligt ! ! !

Loggade in nu. Alla pengar borta. Det var kul så länge det varade, som tandläkaren sa.

Hur är detta ens möjligt? Hur kan säkerheten inte vara bättre? Hur kan konton inte vara mer isolerade?

Många klagar på storbankernas gamla system och gränssnitt, men jag tar fan det varje dag i veckan framför nån fintech nätmäklare som saknar rimlig kontosäkerhet.

GjgIFpxWUAAXmU-1389×776 223 KB

Nja visst är det oroväckande samt ifall handel har genomförts inte bra. Dock torde Nordnet kompensera vem som eventuellt räknat ut för nåt sånt och troligtvis varit tvungna juridisk också om så var fallet. Chill och låt oss se ifall de offentliggör en mer ingående rapport. Alltid bra att sprida sina tillgångar i alla fall. Mitt konto är orörd och hoppas givetvis detsamma gäller er andra.

Utan att ha någon som helst insikt i Nordnet, men gott om erfarenhet av att bygga och drifta system, skulle jag sätta en hundring på en felkonfigurerad cache av något slag (typ Google Cloud CDN). Baserat på utsagan om att människor har fått tillgång till att kunna se andras konton. Kan såklart vara något värre, men det är lite av en klassiker.

All omtanke till de stackare som nu sitter i ett videomöte med alldeles för många deltagare och försöker lista ut vad som gick fel, hur de på ett säkert sätt kan återställa systemen, och vem som fått tillgång till vilken information.

Hehe, jag som nyss tipsat en nybörjare att det är onödigt komplicerat att använda flera plattformar eftersom det gör det segare att hantera pengarna.

Men det här är ju en sån grej som är lätt att säga i efterhand. Hur många har med handen på hjärtat exempelvis 2 olika banker bara för att va på säkra sidan?

Jag har det.

Då kan du skicka den hundringen till mig!

The root cause was found to be a malfunctioning software component related to the login process. The disruption was not caused by any external interference.

Det är inte så svårt att se hur detta kan inträffa om man förstår hur BankID fungerar. När kunden loggar in med det så får banken personnummret till personen. Med det ska de slå upp rätt konto. Alltså vilken användare har detta personnummer, slå upp det i en DB och ge användaren full access till kontot.

Det har jag missat, har du någon källa till detta, en länk?
Tror inte detta är lagligt.

Tråkigt, jag har gillat att använda endast Nordnet. Men finns det något som tyder på att det inte lika gärna kunda vara Avanza det hände på?

Någon har förstås klantat sig rejält här.

Mjukvarufel kan hända var som helst. Man har processer för att identifiera och rätta problem innan det går vidare, men som extern part är det väldigt svårt att bedöma om ett företag har bra och fungerande processer för det.

Jag har, få se nu:

Större delen av tjänstepensionen uppdelad mellan två banker

Lönekonto i tre banker - ska stänga ett konto men ett som huvudkonto och ett som backup

En femte bank för ISK/KF med månadsspar

Tre kreditkort (VISA och MasterCard)

Kontanter

Ädelmetaller

Krypto

Jag, en prepper? Javisst!

Om du inte trejdar kan du gott ha en mäklare. Avanza har haft riktigt mkt strul tidigare.

Intressant, detta har ansetts väldigt känsligt då svenska regelverk inte har tillåtit att man lägger information i molnet som kan bryta mot banksekretessen.

Det har garanterat inget med detta fel att göra men är ändå mycket intressant.

Om jag får GISSA:

Låter som problemet va att man fick SE en annan slumpad persons information, men inte ÄNDRA något.

Baserat på citatet

”Vi har fått rapporter från kunder att vissa kunder har kunnat se andra kunders kontobild när de har loggat in på Nordnet"

Mer detaljer under citatet nedan:

Gissa på samma sak!

Har sett snarlika problem 2 gånger i min karriär och båda gångerna har det varit CDN-cache.

Effekten var då att om sajten hade 5 minuters cache-tid så kunde typ alla mellan 10:00 till 10:04:59 se användarnamnet “Kalle Karlsson” - bara för att han va den stackaren som råkade ha besökt sajten först när cachen tömdes.

Därefter blev det första besökaren 10:05:00 som fick sitt användarnamn uppcachat och som alla besökare fem minuter efter det fick se.

(Eller ptja kan ha varit 3-4 olika namn som blev cached om man hade flera caches)

Då har det handlat om att det just va några slumpade användare vars uppgifter visades för alla. (Men gick inte för en hacker att komma åt valfri persons uppgifter, som i Skolplattformen)

Och bara handlat om text som VISAS i html.

Ingen har kunnat ändra något på andras konton, för man har egentligen alltid varit inloggad på sitt egna konto - bara att fel HTML renderats. Skulle man försöka göra nåt som att byta username - skulle det göras på ens egna login/konto men fortsatt skulle fel HTML renderas så man skulle inte se effekten utan fortsatt se “Kalle Karlsson” i sidhuvudet.

Man ska inte dra för stora växlar på ett fall (eller två-tre heller för den delen) - går inte att dra som slutasts att gamla system är säkrare.

Det hade lika gärna varit ett gammalt system som fått problem - då hade du kanske sagt det motsatta att “Fy så dåligt med gamla system”.

Det kan slumpa sig lite olika vilka bolag det är som drabbas av märkbara fel.

Men jag tror de flesta utvecklare håller med om att en jättegammal kodbas som få förstår - det är en risk i sig.

Man kan spekulera i att fintechbolag kanske hetsar fram nyutveckling mer än stora gamla banker, dock.

Jag har tre banker för kontanter och tre för investeringar, sen överlappar de lite.

Är själv ingen prepper, men vet ju att banker har datastrul med jämna mellanrum.

Jag tror inte på detta, tror snarare det är ett uttalande i syfte att lugna kunder och aktieägare. Det var ett fel relaterat till inloggningen och då låter det som full access till kontot.

The root cause was found to be a malfunctioning software component related to the login process.

Också här talar de om tillgång till andras konton:

"Vi har fått rapporter från kunder att vissa kunder har kunnat se andra kunders kontobild när de har loggat in på Nordnet. Så att man fått tillgång till fel personers konto helt enkelt på det sättet.

Det är också betydligt svårare att skapa ett fel som leder till att man får se fel konto utan att ha access till det.